LokiBot: se non ruba, ricatta

Minacce

Ricordate il mito di Idra di Lerna? Il serpente dalle nove teste, quando se ne tagliava una dal moncherino ne spuntava un’altra? Nello zoo dei malware Android è spuntata una bestia altrettanto pericolosa.

LokiBot, Trojan bancario

Qual è il comportamento di un normale Trojan bancario? Si presenta all’utente con una falsa schermata che simula l’interfaccia mobile del sito della banca. Le vittime ignare digitano le proprie credenziali d’accesso, che il malware passa ai cybercriminali, i quali possono così entrare nel conto bancario del malcapitato.

Come si comporta LokiBot invece? Più o meno allo stesso modo e imita non solo le schermate delle app bancarie ma anche di app di uso ancora più comune come WhatsApp, Skype e Outlook, inviando notifiche che sembrano proprio provenire da queste applicazioni.

Facciamo un esempio: all’ utente arriva una falsa notifica che dovrebbe provenire dalla banca, in cui riceve la buona notizia di un bonifico a suo favore. Dopo aver letto la notifica, l’utente entra sul sito con le proprie credenziali di accesso per verificare. LokiBot fa persino vibrare il telefono quando mostra la falsa notifica del presunto bonifico, dettaglio che tranquillizzerebbe anche gli utenti più attenti.

Ma LokiBot ha un altro asso nella manica: può aprire il browser, navigare su alcune pagine in concreto e utilizzare il dispositivo infetto per inviare spam, metodo attraverso il quale si diffonde. Dopo aver prelevato denaro dal conto dell’utente, LokiBot continua la sua opera, inviando un SMS dannoso a tutti i contatti della rubrica per infettare più smartphone e tablet possibili, rispondendo perfino ai messaggi se necessario.

Se si cerca di eliminarlo, LokiBot assume un altro aspetto. Per rubare denaro dal conto bancario ha bisogno degli accessi da amministratore; se l’utente non consente tali accessi, il Trojan bancario si trasforma in ransomware.

LokiBot, ransomware. Come liberare gli smartphone infetti

A questo punto, LokiBot blocca lo schermo e mostra un messaggio dove accusa la vittima di aver visto materiale pedopornografico e richiede un riscatto, soprattutto perché i dati del dispositivo vengono cifrati. Analizzando il codice di LokiBot, i ricercatori hanno scoperto che il ransomware utilizza un sistema di cifratura debole che non funziona bene: il ransomware, infatti, lascia sul dispositivo una copia non cifrata dei file, che hanno solamente nomi diversi. Ripristinare i file è quindi relativamente semplice.

In ogni caso, lo schermo del dispositivo continua a essere bloccato e i cybercriminali chiedono un riscatto di circa 100 dollari in Bitcoin per sbloccarlo. Ma non sarà necessario: dopo aver riavviato il dispositivo in modalità provvisoria, si può fare in modo che  il malware non abbia più gli accessi da amministratore ed eliminarlo. Prima di fare tutto ciò, innanzitutto è necessario sapere qual è la versione Android installata sul telefono:

  • Andare su Impostazioni;
  • Poi su Generali;
  • Entrare nella sezione Info sul dispositivo;
  • Individuare la versione Android installata (i numeri inidicano la versione dell’OS)

Ecco come fare per abilitare la modalità provvisoria per i dispositivi con versione Android dalla 4.4 alla 7.1:

  • Tenere premuto il pulsante di accensione fino a quando compare l’opzione “Spegni” e le altre opzioni del menù;
  • Selezionare l’opzione Attiva modalità provvisoria;
  • Riavviare il telefono.

I proprietari dei dispositivi con altre versioni di Android dovrebbero cercare informazioni online su come attivare la modalità provvisoria sul telefono in concreto.

Purtroppo non tutti conoscono questo metodo per mettere fuori uso il malware: per questo LokiBot è riuscito già a estorcere quasi un milione e mezzo di dollari alle vittime. Inoltre, LokiBot è disponiible sul mercato nero pagando solo due mila dollari. I cybercriminali ammortizzano sicuramente l’investimento più e più volte.

Come proteggersi da LokiBot

I consigli che vi daremo per proteggervi da LokiBot in realtà valgono per qualsiasi malware mobile. Ecco cosa fare:

  • Non cliccate su link sospetti (è così che si propaga LokiBot);
  • Scaricate le app solo attraverso Google Play (ma attenzione anche sullo store ufficiale);
  • Installate una soluzione di sicurezza affidabile su smartphone e tablet. Kaspersky Internet Security for Android rileva tutte le varianti di LokiBot. Nella versione a pagamento dopo aver installato una nuova app non c’è bisogno di avviare l’analisi dello smartphone.